«Snake», voilà son petit nom. Non, ce n'est pas du jeu présent sur les Nokia 3310 dont nous allons parler, mais d'un système d'espionnage. Pendant vingt ans, ce logiciel malveillant surveillait des journalistes, des chercheurs, des membres de gouvernements et de l'OTAN. Tout ceci est l'œuvre des renseignements russes. Mais désormais, le serpent est débranché, ont annoncé les autorités américaines mardi 9 mai.
Durant deux décennies, les agents de Moscou ont utilisé Snake pour voler des documents sensibles dans au moins une cinquantaine de pays, dont des membres de l'OTAN, précise le ministère américain de la Justice. «Nous considérons Snake comme l'outil de cyberespionnage le plus sophistiqué conçu et utilisé par le Centre 16 du Service fédéral de sécurité (FSB) de Russie», affirme de son côté l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).
Je m'abonne
Autodestruction
Si le malware a pu passer inaperçu, c'est parce qu'il se niche dans une arborescence complexe. Selon le FBI, Snake récolte des données sensibles, puis les fait transiter par des systèmes informatiques corrompus aux États-Unis, avant de les envoyer en Russie. Il est donc très difficile pour les victimes de comprendre comment elles se sont fait voler des documents.
À Washington, le FSB aurait infecté plusieurs secteurs, dont ceux de l'industrie, de la finance, de l'éducation, des médias, des organes gouvernementaux et de petites entreprises. La CISA décrit, par exemple, une affaire spécifique: selon elle, Snake a réussi à «accéder et à extraire des documents sensibles concernant les relations internationales, ainsi que d'autres communications diplomatiques» au sein d'un pays de l'OTAN.
C'est en analysant l'intrus de Moscou que le FBI a réussi à décrypter son comportement et ses communications, notamment en s'appuyant sur les «erreurs humaines» qui pouvaient être commises par ses opérateurs. Les renseignements américains ont ensuite développé un logiciel nommé Perseus, capable de correspondre avec Snake et même de lui donner des ordres. C'est d'ailleurs de cette manière que les États-Unis ont désactivé le programme espion: ils ont demandé à Snake de s'autodétruire.
Ouroboros
Ces dernières décennies, le logiciel malveillant s'est faufilé dans des pays du monde entier. En 2018, les autorités allemandes avaient ainsi révélé avoir fait l'objet d'une attaque, attribuée par les médias au logiciel Snake. Des victimes ont aussi été identifiées en Belgique, en Ukraine ou en Géorgie, note l'Agence France-Presse. «Les détails techniques aideront beaucoup d'organisations à trouver et à désactiver le virus», affirme Rob Joyce, directeur de la cybersécurité à l'Agence nationale de sécurité américaine (NSA).
Le FSB a longtemps pris soin de Snake, développé en 2003 sous le nom d'«Uroburos» en référence à la figure du serpent qui se mord la queue. Un nom approprié, selon la CISA, qui note que les renseignements russes l'ont «constamment amélioré et redéveloppé, même quand il a été découvert par le public, au lieu de l'abandonner».
Dans de premières versions du code, les développeurs russes ont même laissé des chaînes de caractères uniques, comme «Ur0bUr()sGoTyOu#» («Uroboros vous a eu»). Désormais, les rôles se sont inversés. Le serpent s'est fait manger par plus gros que lui.
